La Unión Europea está avanzando para mejorar la seguridad de las empresas de servicios frente a los ataques cibernéticos. Los eurodiputados de la comisión de Mercado Interior han aprobado un borrador de ley, fruto de un acuerdo informal entre el Parlamento Europeo y el Consejo el pasado 7 de diciembre, que plantea que las empresas que prestan servicios como la energía, el transporte, la banca y la salud, o servicios digitales tales como los motores de búsqueda y la nube tomen medidas para mejorar su capacidad de resistencia frente a ciberataques.
La nueva directiva, que todavía tendrá que ser aprobada por el Pleno de la Eurocámara y por el Consejo, pretende lograr un mayor de nivel de seguridad común en las redes y sistemas de información en toda la Unión Europea (conocida como NIS) para acabar con la fragmentación actual de los 28 sistemas nacionales de seguridad.
La directiva contendrá una lista de aquellos sectores o empresas de servicios críticos que deberán tomar medidas especiales para poder resistir futuros ataques cibernéticos. También tendrán la obligación de informar a las autoridades nacionales sobre eventuales violaciones de seguridad graves recibidas. De estas obligaciones quedan excluidas las pymes digitales.
El borrador de ley establece que se ponga en marcha un «grupo de cooperación» estratégica dedicado al intercambio de información y mejores prácticas, a elaborar directrices y ayudar a los países a aumentar su capacidad en seguridad cibernética . Cada Estado Miembro deberá adoptar su propia estrategia NIS nacional y establecer una “red de Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT)”, para manejar incidentes y riesgos, discutir problemas de seguridad transfronterizos e identificar posibles respuestas coordinadas. La Agencia Europea de Seguridad de Redes y de la Información (ENISA) también jugará un papel clave en la aplicación de la directiva.